39
我已阅读this thread但我想知道这种解决方案有多安全?我知道github提供了ssh/ssl支持,并且我很熟悉,但是有人可以给我一个他们用来确保我的确认conf /凭证文件不被黑客攻击的内部安全性的细目。github托管对于私人存储库有多安全?
编辑:我读过http://help.github.com/security/,但我想要一个与多个存储库主机合作过的人的回答,并具有与此有关的实际经验。
A
回答
4
一段弦是多久?
这是一个很难回答的问题。
看着他们的security page他们似乎有几乎所有的覆盖,假设他们实际上做所有的东西。
你可能会说,把你的代码放在github上比把它存储在内部服务器上更安全,许多公司没有github描述的那么好的安装策略或安全策略。你的?
+3
我注意到,GitHub对任何未经授权的数据访问不承担法律责任(条款G.13)。这是令人失望的,但有些可以理解。为了代替他们接受法律责任,我希望看到他们发布Rackspace,nGenuity和Matasano安全审计的结果,以便我们确认他们正在做他们描述的内容。 – Raman 2011-09-29 05:04:14
+0
他们实际上没有做安全页面所说的。例如,问题的附件根本不是私人的 - http://wishmesh.com/2017/03/attachments-from-githubs-private-issue-trackers-can-be-viewed-without-any-authentication/ – 2017-03-07 13:53:39
1
你也可以在你自己的服务器上运行Github的Enterprise installation。 20美元的许可证为5000美元/年。
42
最近我们尝试了github。
与我们以前的git托管(这是我们自己的linux虚拟服务器)相比,我对安全性并没有太大的印象。我们确实决定使用它,但只适用于保持代码隐私的项目并不是一个大问题。
即:
- 有没有公司的控制,在全国各地的用户帐户。我们控制哪些用户可以访问我们的资源库,但没有密码策略,用户挑选自己的电子邮件地址等
- 有没有办法来限制IP地址的访问
- 密码只能由用户 复位
- 妥协用户的电子邮件帐户(我们无法看到他们设置了哪个帐户)也会导致他们的github帐户的妥协,因为他们使用电子邮件质询来重置被遗忘的密码。
- 没有访问日志(对于大多数或所有更改都有审计跟踪,但根本没有日志访问)
- 访问Web前端仅受密码保护,因此容易受到其他用户的密码重用网站,并在某种程度上暴力强制(github关于他们对失败登录做什么的说法还不清楚)。
其中一两个我们可以活下去,但在组合他们基本上使github完全不适合。
他们最近添加了2个因子认证,并且有一个API,因此组织至少可以检查访问其存储库的用户是否启用了两个因子认证。虽然我不觉得这是真正的最佳解决方案,但它可能只是将github带到足够安全的地步,因此可以考虑用于私人回购。
正如mt3所指出的那样,您可以运行企业安装,这可能会显着提高安全性 - 但与标准github公司帐户之间的成本差异是惊人的,这可能意味着您错过了所有第三方与github集成的工具。
在非安全性说明中,他们至少现在至少支持年度计费,这有助于减少文书工作开销。
GitHub最近有announced new business plans with extra features - 这可以解决'1'/'4'/'5'。 (虽然它的一部分“正常运行时间保证”相当可笑 - 甚至不是“四九”,并且排除了定期维护以及他们认为“超出其合理控制范围”的任何事情 - 并且这不是实际担保,这只是一个小小的信贷你的下一张账单上限不得超过你账单的三分之一,基本上是非常谨慎的营销黄鼠狼的单词,而不是他们的任何承诺。)
+3
GitHub实际上允许您选择按年计费:https://help.github.com/articles/does-github-provide-invoicing – 2012-11-29 19:05:59
+1
非常有用的帖子,谢谢。 – 2014-04-10 03:13:17
+0
GitLab似乎以较低的成本和开源实现为GitHub提供了类似的功能。他们有一个可以自己托管的免费版本,或者是每年39美元/用户的企业版本。 (我使用过GitHub,但只浏览了GitLab网站,没有亲身体验。) – yoyo 2016-04-06 20:47:04
6
他们过去曾发生过重大安全事件: http://www.h-online.com/security/news/item/GitHub-security-incident-highlights-Ruby-on-Rails-problem-1463207.html
坦率地说,我不会委托我想保密的代码(或任何其他敏感数据)到云中,除非它被加密并且只有我拥有密钥。
+0
值得注意的是Keybase精确地介绍了:云的便利性和加密的安全性: https://keybase.io/blog/encrypted -git换大家 – 2017-10-15 05:16:46
相关问题
- 1. 在Github中管理私人存储库
- 2. 在github,bitbucket等存储库网站上托管敏感数据有多安全?
- 3. 从私人github存储库部署
- 4. Github - 分配私人存储库
- 5. Magnum CI与私人github存储库
- 6. github或bitbucket上的私有存储库安全地存储密码?
- 7. PyCharm requirements.txt安装失败,私人GitHub存储库和SSH密钥
- 8. 安全地存储私人图像
- 9. 私人GitHub存储库应该用于学生项目吗?
- 10. CC.net和GitHub私有存储库
- 11. 分叉Github上的私有存储库
- 12. 从Github转移“权威”git存储库到私人github
- 13. GITHUB允许某人查看我的私人存储库
- 14. 包:安装私人的github仓库
- 15. 私人服务器托管的安全威胁
- 16. 私钥的安全存储
- 17. 同步Github存储库的私人存储库的拉取请求
- 18. 如何从多个私有GitHub存储库触发Jenkins构建?
- 19. 服务器上的多个github私有npm存储库
- 20. OSGI OBR存储库托管?
- 21. 詹金斯不擅长私人GitHub存储库(Windows)
- 22. 如何将Jenkins链接到私人Github存储库?
- 23. 如何让Team City访问GitHub组织的私人存储库?
- 24. 如何从私人Github存储库下载二进制文件?
- 25. 来自私人GitHub存储库的Cordova插件
- 26. 将私人github存储库链接到潜在的雇主
- 27. 如何授予访问私人GitHub存储库的权限?
- 28. 是否有可能从Github安全地删除存储库
- 29. 如何使'捆绑安装'始终下载私人托管(在Github上)的gem?
- 30. Github般的托管,私人来源,公共票务系统
是的我不确定究竟在哪里抛出这个问题。 – 2010-10-21 17:06:00
“补丁操作系统”(来自http://help.github.com/security)足以让我认为他们破坏了他们的安全。如果他们打算编写一个可能比他们认为修复的错误更多的自定义补丁,为什么还要担心其他所有安全问题。 – 2010-10-21 23:14:34
@Coronatus,它在哪里说他们使补丁自定义?它可能是操作系统的最新补丁。如最新,最安全的版本。 – alternative 2010-10-21 23:21:49